R2301001 Alarmfilosofie Tata Steel IJmuiden BV
ISA-18.2 Stap 1 in het Alarm Management Lifecycle process
Auteur: V. Toorenburg Datum: 1-3-2017 Versie 1.0
De laatste versie van dit document is beschikbaar via www.tatasteel.nl/veiligheid Informatie en wijzigingen
Inhoud document: V. Toorenburg, PTC EIC +31 (0)251-494428
Standaardisatie: ptc-adm@tatasteel.com +31 (0)251-494443
Inhoudsopgave
1 Alarmfilosofie Tata Steel IJmuiden ... 3
1.1 Inleiding ... 3
1.2 Wat is een alarm? ... 3
1.3 Alarm prioriteit ... 4
1.4 Alarmclassificatie ... 5
1.5 Het beperken van alarm overlast ... 6
1.6 Configureren van alarmfunctionaliteit ... 6
1.7 Master Alarm Database (MADB) ... 7
1.8 Controle en beoordeling alarmsysteem ... 7
1.9 Management of Change (MOC) ... 7
1.10 Audit ... 8
1.11 Alarm stadia en status indicaties ... 8
1.11.1 Alarm stadia ... 8
1.11.2 Alarm status indicaties ... 8
1.12 Alarm weergave ... 9
1.12.1 Operator beeldschermplaatjes ... 9
1.12.2 Alarmlijst ... 9
1.12.3 Alarmgeluid ... 10
1.13 Storingsmeldingen weergave ... 10
1.14 Event (log) lijst ... 10
1.15 Opmerkingen ... 11
2 Bijlage... 12
2.1 Enkele voorbeelden van alarmen ... 12
2.2 Datavelden Master Alarm Database... 13
1 Alarmfilosofie Tata Steel IJmuiden
1.1 Inleiding
Het doel van dit document is om de doelstellingen, richtlijnen, uitgangspunten en werkprocessen voor het alarmsysteem vast te leggen. Een goed functionerend alarmsysteem kan helpen het proces dichter bij het ideale operationele werkpunt te laten opereren. Dit resulteert in hogere opbrengsten, gereduceerde productiekosten, toename in doorzet en hogere kwaliteit. Ineffectieve alarmsystemen zijn in het verleden vaak aangewezen als factoren die bijgedragen hebben aan ernstige procesongevallen.
Hierbij wordt de operator namelijk belast met alarmen waarvan er veel niet als alarm aangemerkt zouden moeten worden. Hierdoor bestaat de mogelijkheid dat de operator de echte alarmen niet op juiste waarde inschat of zelfs mist, met mogelijk ernstige consequenties tot gevolg.
De filosofie in dit document maakt gebruik van de volgende norm:
NEN-EN-IEC 62682:2015: Beheer van alarmsystemen voor de procesindustrie. Deze norm is afgeleid van (gebaseerd op) de ISA-18.2: Alarm Management Lifecycle.
In deze laatstgenoemde norm is het ‘Alarm Management Lifecycle’ schema opgenomen:
De alarmfilosofie vormt de eerste stap in het ‘Alarm Management Lifecycle’ proces.
Belangrijk is om eerst vast te stellen wat een alarm is.
1.2 Wat is een alarm?
Een alarm is (volgens ISA-18.2):
1. een hoorbare en/ of een visuele vorm van indicatie 2. voor de operator
3. van het niet werken van een productieonderdeel, proces afwijking of een abnormale conditie, 4. waardoor een actie van de bedienpersoon vereist is.
1) Er moet een indicatie van het alarm zijn.
2) Om een alarm te zijn moet de indicatie gericht zijn aan de operator.
3) Het alarm moet een probleem aangeven en niet een normale procesconditie.
4) Er moet een gedefinieerde operatoractie zijn om de conditie te herstellen en het proces terug te brengen naar de gewenste situatie (veilig en/ of productief).
Pas als aan de 4 voorwaarden wordt voldaan kan gesproken worden van een alarm. Anders wordt de situatie gezien als event (log) of statusmelding. Zie bijlage 2.1 voor enkele voorbeelden van alarmen.
1.3 Alarm prioriteit
Zoals aangegeven vereisen alarmen acties van operators, echter de meeste systemen genereren dusdanig veel alarmen dat de operator deze onmogelijk allemaal tegelijk kan afhandelen. Het is dus belangrijk om elk alarm een prioriteit te geven zodat de operator geholpen wordt in het effectief afhandelen van de alarmen. De ISA 18.2 beveelt het gebruik van maximaal vier alarmprioriteiten aan:
kritisch, hoog, gemiddeld en laag.
Vanuit het perspectief van de operator wordt de prioriteit van een alarm vooral bepaald door:
- de beschikbare tijd
- de benodigde handelingen - de mogelijkheden om in te grijpen
- de potentiële gevolgen van de verstoring (ernst van de consequentie)
Voor Tata Steel is gekozen om de prioriteitsbepaling direct te relateren aan de ernst van de consequentie (de matrix is gebaseerd op de risicomatrix volgens QHSE 5.01 van Tata Steel):
Alarm prioriteit matrix
Potentiële consequentie indien alarm wordt genegeerd Prioriteit
Categorie Gezondheid en
veiligheid Milieu Reputatie Finan-
ciëel
Product- en service kwaliteit
Catastrofaal
≥ 5 doden binnen site, en/of één of meer doden buiten site
Extreem grote emissie gevaarlijke stof, langdurige
milieuschade. Grote publieke bezorgdheid
Aanhoudende internationale onrust.
Langdurige schade naam TATA
> € 100 mln
Verlies aanzienlijk markt- aandeel
Kritisch
Zeer ernstig
Eén of meer (<5) doden en/of zeer ernstig letsel binnen site. Ziekenhuis- opname van mens(en) uit publiek
Ernstige overschrijding vergunde emissie met milieuschade.
Correctieve maat- regelen buiten site nodig
Nationale onrust, extern onderzoek, landelijke media aandacht
€ 10 -100 mln
Verlies
klanten Kritisch
Ernstig
Ernstig letsel met verzuim binnen site (LTI) en/of lichte veiligheids- en gezondheidseffecten op publiek
Grote overschrijding vergunde emissie met milieuschade. Effect buiten de site.
Meerdere externe klachten
Regionale onrust, negatieve aandacht nationale media
€ 0,5 - 10 mln
Klachten van meerdere klanten
Hoog
Serieus
Licht letsel, tijdelijk aangepast werk, recordable. Geen veiligheids-of gezondheidseffecten op publiek
Overschrijding vergunde emissie met herstelbare
milieuschade. Externe klacht, mogelijk waarschuwing door autoriteiten
Lokale onrust, mogelijk lokale media aandacht
€ 100.000 - 500.000
Formele klanten- klacht
Hoog
Gering
Gering letsel of gezondheidseffect, EHBO behandeling, geen invloed op inzetbaarheid
Kleine emissie met mogelijk geringe milieuschade binnen site
Geen publieke onrust, geen media aandacht
€ 10.000 - 100.000
Off-spec/
niet nakomen afspraak
Gemid- deld
Verwaar-
loosbaar Geen gevolgen Geen effecten Geen
gevolgen < € 10.000 Geen
klachten Laag
Aanvullend moet aangegeven worden wat de sub-prioriteit voor handelen is van de operator van een bepaald alarm. Hiervoor worden twee niveaus gebruikt: 1) directe actie, 2) opgeschorte actie.
Belangrijk:
Voor het bepalen van de alarmprioriteit moet er van worden uitgegaan dat bij activatie van het alarm, de aanwezige besturings- en/ of veiligheidssystemen niet ingrijpen. Dit staat dan gelijk aan het negeren van het alarm met bijbehorende potentiële consequenties tot gevolg.
Door de opzet van de matrix zullen hoog prioriteit alarmen het minst vaak voorkomen en laag prioriteit het meest. Dit draagt bij aan de effectiviteit van de alarmprioriteiten (zie tabel paragraaf 1.8:
“Annunciated priority distribution”).
Zoals uit de risicomatrix blijkt dient de alarmprioriteit ‘kritisch’ alleen toegepast te worden in uitzonderlijke situaties. Indien een alarm als kritisch wordt beschouwd dient eerst bepaald te worden of het ontwerp van het (proces)onderdeel aangepast kan worden (veiligheid in ontwerp). Indien dit niet kan moet het alarm naast op het HMI, ook op een separaat onafhankelijk meldpaneel (annunciator panel) te worden weergegeven. Dit om de beschikbaarheid van de alarm melding te verhogen.
1.4 Alarmclassificatie
Volgens de norm dient elk alarm een classificatie gegeven te worden. Deze classificatie is dan bedoeld voor administratieve doeleinden zoals het aangeven dat een alarm periodiek getest moet worden. De alarmclassificatie zoals Tata Steel die toepast is elk alarm een classificatie te geven die aangeeft voor welke afdeling het alarm bestemd is. Door te filteren (bijvoorbeeld aan de hand van de inlognaam) komen de alarmen terecht op alarmschermen van de betreffende verantwoordelijke afdelingen (zie opmerking 1 §1.15).
Let op:
Hier wordt gesproken over alarmen echter een alarm dat niet bestemd is voor de operator, is volgens de definitie van paragraaf 1.2 geen alarm. Door wel de alarmfunctionaliteit van de softwarepakketten te gebruiken kunnen ook aan bijvoorbeeld storingsmeldingen prioriteiten worden toegekend middels kleurprofielen gelijk aan die van de alarmen.
De volgende alarmklassen zijn gedefinieerd:
PRO = productie, operator STD = storingsdienst TBE = technisch beheer
KTO = kwaliteitsbeheer en technische ontwikkeling
Deze klassen kunnen gevolgd worden door een nummer om een opdeling te maken binnen de alarmklasse, bijvoorbeeld:
PRO-01 = Alarm voor productie, sectie intree PRO-02 = Alarm voor productie, sectie proces.
STD-01 = Melding voor storingsdienst, Y-afdeling STD-02 = Melding voor storingsdienst, W-afdeling
STD-10 = Melding voor externe service organisatie A waarbij bijvoorbeeld automatisch een SMS of e- mail wordt gestuurd of via een app de melding wordt gemeld.
1.5 Het beperken van alarm overlast
Om overlast van alarmen te beperken kan gebruik worden gemaakt van alarm onderdrukking. Alarm onderdrukking is een mechanisme om indicatie van een alarm naar de operator te voorkomen wanneer de alarm conditie aanwezig is. “Shelved”, “Designed Suppression” en “Out of service” zijn methodes om alarmen te onderdrukken:
- Een “Shelved Alarm” is een alarm dat tijdelijk uitgeschakeld is omdat het betreffende onderdeel bijvoorbeeld tijdelijk niet correct of verstorend werkt. Belangrijk is dat het alarmsysteem periodiek melding maakt van deze alarmen zodat deze alarmen niet worden vergeten terug te zetten in de normale alarm mode.
- Een “Suppressed by Design Alarm” is een alarm dat onderdrukt wordt door de logica in het besturingssysteem (PLC). Te denken valt aan het opstarten van een fabriek of aan units die niet bijstaan en geen invloed hebben op het productieproces. De betreffende alarmen worden onderdrukt aangezien deze anders zouden leiden tot alarmvervuiling op de operator schermen en alarmlijsten.
- Een “Out of Service Alarm” is een alarm dat uitgeschakeld is omdat bijvoorbeeld het betreffende onderdeel kapot is maar niet direct gerepareerd of vervangen kan worden. Hier is ook belangrijk het alarm weer actief te maken zodra het onderdeel weer operationeel is.
Opmerking:
Het gebruik van “shelving” en “out-of-service” moet alleen toegepast worden indien de visualisatiesoftware deze methodes standaard ondersteund.
Om de overlast van alarmen verder te beperken, worden de alarmen voorzien van een “dode band” al dan niet in combinatie met “aan/ uit tijdsvertragingen” (zie opmerking 2 §1.15):
- De “dode band” (hysterese) is de verandering van het signaal ten opzichte van het alarmsetpoint, noodzakelijk om het alarm te deactiveren.
- De “aan/ uit tijdvertraging” (delay time) is de tijd die de procesmeting in de alarm/ normale status moet blijven voordat een alarm is geactiveerd/ gedeactiveerd.
De volgende tabel wordt gebruikt als startwaarden (bulk van de alarmen) voor dode band en aan/ uit tijdvertraging instellingen: (bron ISA 18-2)
Signal Type Deadband (percent of range) Delay Time (On or Off)
Flow Rate 5% 15 seconds
Level 5% 60 seconds
Pressure 2% 15 seconds
Temperature 1% 60 seconds
Per alarm worden de instellingen vastgelegd in de Master Alarm Database (zie §1.7).
1.6 Configureren van alarmfunctionaliteit
Om de onderhoudbaarheid te verhogen moet zoveel mogelijk gebruik gemaakt worden van de standaard functionaliteit die zowel de PLC software als de SCADA/ HMI software biedt. Dus de logica van wanneer een signaal in/ uit alarm gaat (alarmwaarden, hysterese, tijdvertraging, “Suppressed by Design” etc.) in de PLC software en het visualiseren van het alarm (prioriteit, knipperen, verkleuren,
“shelved” en “out of service”, bevestigen, alarmklasse etc.) in de SCADA/ HMI software.
1.7 Master Alarm Database (MADB)
Alarm parameters (o.a. instellingen) worden gedocumenteerd in de Master Alarm Database. In deze database staan ook belangrijke details die besproken zijn tijdens alarm rationalisatie: de oorzaak, consequentie en aanbevolen operatoractie. Deze informatie in de MADB moet gebruikt worden gedurende verschillende fases van de alarm levenscyclus (zie opmerking 3 §1.15). Aanpassingen met betrekking tot de alarmen in de MADB moeten verlopen via een Management Of Change procedure (zie §1.9). Hierna mogen de aanpassingen pas doorgevoerd worden in het alarm systeem. Zie bijlage 2.2 voor de datavelden van de MADB.
1.8 Controle en beoordeling alarmsysteem
Het is belangrijk de werking van het alarmsysteem te controleren en te beoordelen ten opzichte van prestatie indicatoren (KPI). Te denken valt hier aan het aantal alarmen dat een operator per tijdsperiode te verwerken krijgt, maar ook aan het aantal kritische alarmen ten opzichte van het totaal aantal alarmen. In de norm ISA 18-2 staat een tabel met mogelijke “alarm performance metrics” die gebruikt kunnen worden. Voor Tata Steel wordt geadviseerd de waarden in onderstaande tabel aan te houden:
Alarm Performance Metrics Based Upon at Least 30 Days of Data
Metric Target Value
Annunciated alarms per time Target value: very likely to be acceptable
Target value: maximum manageable
Annunciated alarms per day per operating position
150 alarms per day 300 alarms per day
Annunciated alarms per hour per operating position
6 (average) 12 (average)
Annunciated alarms per 10 minutes per operating position
1 (average) 2 (average)
Metric Target Value
Percentage of hours containing more than 30 alarms
<1%
Percentage of 10-minute periods containing more than 10 alarms
<1%
Maximum number of alarms in a 10-minute period
<10
Percentage of time the alarm system is in a flood condition
<1%
Percentage contribution of the top 10 most frequent alarms to the overall alarm load
<1% to 5% maximum, with action plans to address deficiencies
Quantity of chattering and fleeting alarms Zero, develop action plans to correct any that occur Stale alarms <5/day, with action plans to address
Annunciated priority distribution If using four priorities: 80% low, 15% medium, 5% high, <1% critical Unauthorized alarm suppression Zero alarms suppressed outside of approved methodologies Unauthorized alarm attribute changes Zero alarm attribute changes outside Management Of Change
Het analyseren van het alarmsysteem houdt ook in dat bepaald wordt welke alarmen vaak voorkomen (top 5), wat de stand tijd is van alarmen, welke alarmen langdurig blijven staan, welke alarmen onnodig inkomen of in korte tijd veelvuldig aan- en uitgaan.
1.9 Management of Change (MOC)
Management of change vereist het gebruik van hulpmiddelen en procedures om te verzekeren dat aanpassingen aan alarmen beoordeeld en goedgekeurd worden alvorens deze aanpassingen worden doorgevoerd (zie §1.7). Het alarmsysteem moet de mogelijkheid hebben toegangsrechten toe te kennen aan specifieke gebruikersgroepen en individuen. Dit bepaalt wie er aanpassingen in het alarmsysteem mogen doen en wat er aangepast mag worden. Elke aanpassing dient vastgelegd te
worden met een tijd en dag stempel, de “van” en “naar” waarden en welke gebruiker de aanpassing heeft uitgevoerd.
1.10 Audit
Tijdens de audit (zie schema §1.1) dient het operationele alarmsysteem getoetst te worden aan zaken zoals opgenomen in dit document. Indien tijdens dit audit proces blijkt dat de alarm filosofie aanpassingen behoeft, dienen deze aanpassingen verwerkt te worden in dit document.
1.11 Alarm stadia en status indicaties
1.11.1 Alarm stadia
Een alarm doorloopt een aantal stadia:
Middels knoppen op het HMI beeldschermplaatje of alarmlijst kunnen alarmen individueel of allemaal tegelijk bevestigd worden (acknowledged/ Acked). Vaak bestaat er een aparte knop om het alarmgeluid uit te schakelen nadat een nieuw alarm is opgetreden. De bevestig knop heeft dezelfde functie. Per alarmklasse (§1.4) kan ingesteld worden of een alarm of melding handmatig bevestigd moet worden of dat dit automatisch gaat. Voor alarmen met klasse PRO moet de operator altijd handmatig bevestigen (zie §1.2 punt 1).
1.11.2 Alarm status indicaties
In onderstaande tabel zijn de alarm status indicaties weergegeven:
Alarm state Audible
Indication
Visual Indication (HMI graphic & alarm list)
Colour Symbol Blinking
Normal No No No No
Unacknowledged (new) alarm Yes Yes Yes Yes
Acknowledged alarm No Yes Yes No
Return to normal state indication No No No No
Unacknowledged latched alarm* Yes Yes Yes Yes
Acknowledged latched alarm* No Yes Yes No
Shelved alarm No No Yes** No
Designed Suppression alarm No No Yes** No
Out of service alarm No No Yes** No
* Vereist reset door de operator. Zie Alarm State Transition Diagram in ISA18.2.
** Alleen op HMI beeldschermplaatje. Gebruik hiervoor symbool “S” zie §1.12.1.
1.12 Alarm weergave
1.12.1 Operator beeldschermplaatjes
Om de operator te helpen snel te identificeren welke alarmen (eerste) actie behoeven wordt gebruik gemaakt van unieke mechanismen voor visuele weergave (zie opmerking 4 §1.15):
Prioriteit:
0 = kritisch 1 = hoog 2 = gemiddeld 3 = laag
S = suppressed; voor onderdelen waarvan de alarmfunctionaliteit onderdrukt is.
De prioriteit van het alarm is redundant weergegeven door de alarm indicator vorm, kleur en prioriteit nummer. Deze drievoudige codering garandeert dat alarmen duidelijk waarneembaar zijn op de operator beeldschermplaatjes van de Human Machine Interface (HMI). Hierbij is het belangrijk dat de zwarte omranding als onderdeel van de symbolen gebruikt wordt.
De alarm indicaties verschijnen en verdwijnen met de activatie van de alarm conditie. Het specifieke type alarm (bijv. H, L, LL, etc.) wordt niet op de beeldschermplaatjes weergegeven; dit is terug te vinden op de faceplate van het punt en/of op de alarmlijst.
Voor de weergaven van de symbolen in de verschillende alarm statussen wordt verwezen naar de tabel in paragraaf 1.11.12.
Door de alarmen per prioriteit te clusteren en grafisch weer te geven op de navigatieknoppen (onder in beeld op de beeldschermplaatjes) wordt een helder overzicht verkregen van de (alarm) status per sectie:
Door op de navigatie buttons te klikken wordt direct genavigeerd naar het betreffende beeldschermplaatje zodat het alarm afgehandeld kan worden.
1.12.2 Alarmlijst
Alarmen (of meldingen, zie §1.4) worden weergegeven op de beeldschermplaatjes maar ook op de alarm lijst. Op de alarmlijst staan alle alarmen in tabelvorm op een scherm verzameld. Hierin is met kleur en/ of symbolen en cijfers de prioriteit aangegeven zoals uitgelegd in de vorige paragraaf.
Indien technisch mogelijk zou bij elke alarm regel/ signaal een begeleidende tekst moeten staan die aangeeft wat de aanbevolen actie zou moeten zijn voorafgaand door de sub-prioriteit (zie §1.3). Deze informatie komt uit de Master Alarm Database.
Voor het weergeven van de alarmlijst dient per operator bedienplek een aparte monitor te worden voorzien. Het toepassen van een alarmbanner (alarm regels) op de beeldschermplaatjes wordt afgeraden.
Gravity Filters Overview
1 2
Filter Unit 200
1 1
Filter unit 100
2 2
480.1 mbar 0
480.1 mbar 1
480.1 mbar 2
480.1 mbar 3
480.1 mbar S
1.12.3 Alarmgeluid
Elk alarm zou per type prioriteit een eigen alarmgeluid moeten hebben. In een controlekamer met verschillende bedienposities kan dit een probleem opleveren omdat het dan, op basis van geluid, lastig te bepalen is op welke bedienpositie een nieuw alarm optreedt. Gekozen kan dan worden voor een
“familie” van geluiden per bedienpositie. Er kan ook gekozen worden om de bedienposities te voorzien van een lichtcilinder bestaande uit 4 lichten met kleuren overeenkomstig de alarm prioriteit kleuren.
Deze lichten worden dan geactiveerd in plaats van of tegelijk met het alarmgeluid.
Het gebruik van een enkel type geluid voor de verschillende alarm prioriteiten wordt sterk afgeraden.
1.13 Storingsmeldingen weergave
Voor storingsmeldingen kunnen specifieke HMI beeldschermplaatjes gemaakt worden waardoor de storingen van bepaalde onderdelen (bijvoorbeeld van pompen van een sectie, zekeringen in een verdeler, besturingssystemen etc.) overzichtelijk weergegeven kunnen worden. Dit zijn dan schermen specifiek bestemd voor storingsdienstpersoneel. Natuurlijk kan de operator deze schermen ook raadplegen.
Voorbeeld:
In de alarmlijst voor de operator komt het alarm binnen:
“Transportband E-101 niet beschikbaar”.
Op het HMI beeldschermplaatje voor de operator verschijnt:
Op het HMI beeldschermplaatje voor de storingsdienst verschijnt voor E-101:
Onderdeel Werkschakelaar uit
Thermisch getript
Starttijd overschreden
Fase bewaking aangesproken
E-100
E-101
E-102
(hierbij is de prioriteit van de statusmeldingen voor E-101 gebaseerd op die van het overkoepelende E- 101 alarm).
In de “alarm” (meldingen) lijst voor de storingsdienst komt te staan:
“Transportband E-101 thermisch blok aangesproken/ getript”.
Opmerking:
Status signalen en meldingen ter informatie van de operators staan op de HMI beeldschermplaatjes voor de operators. Voorbeelden zijn: klepstanden, posities machineonderdelen, pomp in bedrijf, truck verlading gestart, etc.
1.14 Event (log) lijst
Op deze lijst staan alle events in tabelvorm op een scherm verzameld. Deze lijst kan overigens een tabblad zijn van de alarmlijst, echter de events mogen niet in de alarmlijst opgenomen worden. Een event is een detecteerbare significante statusverandering, welke al dan niet gekoppeld is aan een gebeurtenis. Events kunnen niet bevestigd (acknowledged) worden door de operator. Een event is een eenduidige punt in de tijd terwijl een alarm een start en een einde heeft. Bij een event valt te denken aan: alarmbevestigingen van de operator, setpointveranderingen, statusveranderingen etc.
E-101
3 3
1.15 Opmerkingen
Opmerking 1 (paragraaf 1.4):
Door de huidige organisatorische afspraken is de operator bij de werkeenheden vaak nog de spin in het web met betrekking tot de afhandeling van alle alarmen en meldingen die op de alarmschermen komen. Hierdoor kan er in het begin voor gekozen worden om de operator nog alle alarmklassen te laten zien. Zodra organisatorisch geregeld is dat de meldingen per afdeling afgehandeld worden zal de operator alleen nog de PRO- alarmklassen te zien krijgen. Belangrijk is dus dat bij het rationaliseren van alarmen (stap 3 schema paragraaf 1.1) de alarmklassen aan alarmen en meldingen worden toegekend zodat de gewenste opzet (later) gerealiseerd kan worden.
Opmerking 2 (paragraaf 1.5):
Een studie door de Abnormal Situation Management (ASM) consortium heeft aangetoond dat door het gebruik van aan/ uit tijdsvertraging op alarmen in combinatie met configuratie veranderingen (zoals dode band aanpassingen) de alarm belasting op de operator met 45-90% verlaagd kan worden.
Opmerking 3 (paragraaf 1.7):
In de praktijk komt het voor dat er getwijfeld wordt waarom een alarm geconfigureerd is, en dat dan maar aangenomen wordt dat dit met een bepaalde reden is geweest en daarom niet kan vervallen.
Door terug te grijpen naar de MADB kan bepaald worden waarom een specifiek alarm gecreëerd was en kan op basis hiervan eventueel besloten worden om het alarm te laten vervallen.
Opmerking 4 (paragraaf 1.12.1):
Opzet is gebaseerd op het boek: “The High Performance HMI handbook” van o.a. B. Hollifield. Verwacht wordt dat deze opzet onderdeel gaat uitmaken van de nog uit te geven standaard ISA 101 “Human Machine Interfaces”. Het symbool voor het kritische alarm (roze diamantje) is in het “High Performance HMI handbook” in gebruik voor alarmen met diagnostische prioriteit. Een symbool voor alarmen met kritische prioriteit is niet opgenomen in het handboek, maar is wel aanbevolen volgens ISA 18.2. Verder zijn diagnostische meldingen geen alarm volgens de ISA18.2. Daarom wordt op dit punt afgeweken van het handboek.
2 Bijlage
2.1 Enkele voorbeelden van alarmen
Situatie Alarm? Reden
Hoog niveau Tank 1001 spreekt aan Ja De automatische regelaar zou het proces binnen de operationele limieten van de tank moeten houden. Dit is niet gelukt en de operator moet ingrijpen om te voorkomen dat de tank overvult en het proces stopt.
Hoog Hoog niveau Tank 1001 spreekt aan (HH-trip)
Ja Het proces zal stoppen via het veiligheidssysteem door de HH waarde. Dit is een abnormale conditie. De operator zal actie moeten ondernemen om het proces te herstellen.
Niveau meting LT-001 Tank 1001 in
storing (‘bad PV, transmitter fail’)
Ja De niveaumeting is niet meer betrouwbaar waardoor het proces niet meer geregeld kan worden.
Het systeem schakelt een pomp automatisch uit- en aan tussen een laag en hoog tankniveau
Nee Hierbij zijn limieten geconfigureerd om regelacties te genereren. Dit zijn normale procescondities.
Transportband E-101 uitgevallen Ja Dit is het niet werken van een productieonderdeel. Dit kan diverse redenen hebben. Zie volgende 2 punten:
Werkschakelaar transportband E-101 staat uit
Nee Dit is een statusmelding. Op het HMI kan deze status weergegeven worden. Het is geen alarm. Zie hiervoor het vorige punt.
Transportband E-101 thermisch blok aangesproken
Nee Zie vorige punt.
Drukmeting PI-1001 diagnostische melding (niet zijnde ‘bad PV’).
Nee Informatie voor beheer en onderhoud.
Noodstop 1001 geactiveerd Ja Dit is een abnormale conditie die actie vereist van de operator.
Zinklaagdikte op strip te dik Ja Dit is een proces afwijking en leidt tot kwaliteitsproblemen.
Communicatie fout opgetreden op profibus / ethernet / etc.
Nee Is een melding voor de storingsdienst.
PLC I/O kaart uitgevallen Nee Is een melding voor de storingsdienst. Indien door het uitvallen van een I/O kaart procesonderdelen niet meer werken zullen deze onderdelen een alarm voor de operator genereren.
2.2 Datavelden Master Alarm Database
Geadviseerd wordt de (storings-)meldingen ook op te nemen in de MADB. Hierdoor worden de meldingen ook centraal geborgd beheerd.
Field Description
Id Alarm id number
Tag number Alarm tag number
Type Absolute, Deviation, Rate of change, calculated, bad measurement, System diagnostic (zie 1.15 opmerking 3), etc
Source Field device, Control System, Safety system, HMI, gas detection etc
Description Alarm description.
Consequence of alarm/ no operator action
Description of consequence when alarm becomes active or when operator does not take action after activation of an alarm.
Corrective action Description of action to be taken by operator
Class PRO, STD, TBE, KTO (zie 1.4)
Setpoint or logical condition Setpoint value, off-normal, on-normal.
Potential Consequence Catastrophic, Major, Severe, Moderate, Minor, Not significant (zie 1.3 matrix)
Consequence category Health/ Safety, Environment, Reputation, Financial, Product and service quality (zie 1.3 matrix)
Priority Critical, High, Medium, Low (zie 1.3 matrix) Sub priority Direct action, postponed action (zie 1.3).
Deadband % (zie 1.5)
On/ off delay timer Time (zie 1.5)
Change Description of changed field
Reason for change Description
Change date Date
Responsible for change Name
Change implemented Is change implemented in the alarm system (Yes/ No).
Remark 1 Description
Remark 2 Description
